Hackerek SEO-mérgezést és keresőmotor-hirdetéseket használnak hamis Microsoft Teams-telepítők népszerűsítésére, amelyek az Oyster hátsó kapuval (backdoor) fertőzik meg a Windows-eszközöket, így biztosítva a vállalati hálózatokhoz való hozzáférést.
Az Oyster, más néven Broomstick vagy CleanUpLoader egy hátsó kapu, amely először a 2023-as év közepén jelent meg és azóta több kampánnyal is összefüggésbe hozták a szakértők. A malware távoli hozzáférést biztosít a fertőzött gépekhez, lehetővé téve parancsok végrehajtását, további payloadok telepítését és fájlok átvitelét.
Az Oyster tipikusan olyan malvertising-kampányokon keresztül terjed, amelyek népszerű IT-eszközöket utánoznak, például mint a PuTTY-t és a WinSCP-t. Zsarolóvírus-operátorok, mint a Rhysida, szintén használták a kártevőt vállalati hálózatok feltörésére.
Egy, a Blackpoint SOC által észlelt új malvertising- és SEO-mérgezési kampányban a fenyegetés szereplői egy hamis webhelyet népszerűsítenek, amely a „Teams download” kifejezésre keresve jelenik meg.
Noha a hirdetések és a domain nem a Microsoft domainjét hamisítják, a teams-install[.]top oldalra vezetnek, amely a Microsoft Teams letöltési oldalát imitálja. A letöltési hivatkozásra kattintva egy „MSTeamsSetup[.]exe” nevű fájl töltődik le, ugyanazzal a fájlnévvel, mint a hivatalos Microsoft-letöltés esetében. A rosszindulatú MSTeamsSetup[.]exe tanúsítványokkal is rendelkezett a fájl hitelességének látszatát keltve. Végrehajtáskor azonban a hamis telepítő egy CaptureService[.]dll nevű rosszindulatú fájlt helyez el a %APPDATA%\Roaming mappában.
A perzisztencia érdekében a telepítő „CaptureService” néven időzített feladatot hoz létre, amely 11 percenként futtatja a DLL-t, biztosítva, hogy a hátsókapu az újraindításokat követően is aktív maradjon.
Ez a tevékenység hasonlít a korábbi hamis Google Chrome- és Microsoft Teams-telepítőkhöz, amelyek az Oyster terjesztésére szolgáltak, rávilágítva arra, hogy a SEO-mérgezés és a malvertising továbbra is kedvelt taktika a vállalati hálózatok kompromittálására.
Mivel az IT-adminisztrátorok népszerű célpontok a magas jogosultságú hitelesítő adatok megszerzésére, azt javasoljuk, hogy kizárólag hitelesített domainekről töltsenek le szoftvert és kerüljék a keresőmotorok hirdetéseire való kattintást.
